آموزش مبانی هک — معرفی ۸ روش رایج هک پسورد

مقدمه

اجازه بدهید با مقدمه‌ای کوتاه مبحث مبانی هک را شروع کنیم. امروزه با پیشرفت انواع تکنولوژی‌ها، از جمله تکنولوژی ارتباطات، احتمال نفوذ به سیستم‌های مختلف هم افزایش پیدا کرده است. به طور معمول تقریبا هر انسان بالغ یک گوشی یا سیستم برای خود دارد، که می‌تواند حاوی اطلاعات مهمی باشد. مدام با آن از طریق اینترنت و سایر پیام‌رسان‌های اینترنتی در تبادل است و تنها تدبیر امنیتی‌اش هم گذاشتن پسورد می‌باشد.

در مراکز، ادارات و شرکت‌های بزرگ که به شاهراه‌های اینترنتی متصل هستند، هر لحظه امکان شکستن دیوار امنیتی‌شان وجود دارد که به آن هک شدن می‌گویند. در ادامه پست مبانی هک با این واژه بیشتر آشنا خواهیم شد.

هک چیست؟

در حالت کلی هک کردن به عملی گفته می‌شود که طی آن فردی که خود را هکر می‌داند به صورت قانونی و یا غیر قانونی، سیستم امنیتی شخص یا سازمانی را که معمولا با پسورد است را می‌شکند و به سیستم مورد نظر نفوذ می‌کند. این نفوذ می‌تواند صدمات جبران‌ناپذیری به صاحب سیستم وارد کند، از جمله مهمترین آنها دسترسی به اطلاعات محرمانه و حیاتی است.

معمولا هکرها تخصص بالایی در حوزه رایانه، شبکه و برنامه‌نویسی دارند. با مهارت‌های خاص خود راه‌های نفوذ و آسیب‌پذیری سیستم‌های مربوطه را شناسایی کرده و آن‌ها را مورد هک قرار می‌دهند.

تاریخچه هک

در طول تاریخ و شاید از ابتدای پیدایش نسل انسان همیشه افرادی سارق و نفوذگر وجود داشته‌اند، که به قصد دزدی از اموال و دارایی افراد با نیات مختلف وارد عمل می‌شدند. اما واژه دقیق هک از حدود سال ۱۹۷۰ تا ۱۹۸۰ به کار گرفته شد، وقتی که برای اولین بار در یک مجله روانشناسی از واژه هکر استفاده کردند و به اعتیادآور بودن کامپیوترها اشاره کرده بودند.

بعدها در سال ۱۹۸۲، همانطوریکه منشاء بسیاری از واقعیات ریشه در تخیلات دارد، در یک فیلم تخیلی با نام “Tron” که نقش اول فیلم قصد داشت سیستم کامپیوتری یک سازمان را هک کند، این جرقه در ذهن افراد ایجاد شد که چرا در واقعیت این کار انجام نشود؟

در سال ۱۹۸۳ فیلم دیگری با نام “WarGames” ساخته شد که در آن یک نوجوان قصد نفوذ به سازمان فضایی آمریکا را دارد. در واقع این فیلم‌ها بودند که انسان‌ها را برای انجام این کار تحریک کردند. از آن سال به بعد گروه‌های فراوانی در سراسر دنیا شکل گرفتند که شروع به هک کردن سازمان‌ها، مراکز و شرکت‌های بزرگ و مهم کردند. در همان سال‌ها هم بود که به دنبال خسارت‌های ناشی از هک شدن، قوانین و مقرراتی برای هک ایجاد شد و بسیاری از افراد دستگیر و مجازات شدند.

.هرچند همه این هک‌ها هم مخرب نبود و در بین آنها می‌توان به مواردی هم اشاره کرد که هکرها به کمک سازمان‌ها و دولت‌ها آمده‌اند

حال که با مختصری از تاریخچه هک آشنا شدیم با هم به ادامه مبانی هک می‌پردازیم ولی قبل از هرچیز لازم است در مورد اصول شبکه و مباحث مرتبط با آن اطلاعات کافی داشته باشید. برای آشنایی با اصول شبکه نیز می توانید از مجموعه آموزش شبکه های کامپیوتری فرادرس استفاده کنید.

• مجموعه آموزش شبکه های کامپیوتری — کلیک کنید

اهداف هک

افراد یا گروه‌هایی که به دنبال هک هستند معمولا یکی از اهداف زیر را دارند:

روش های هک پسورد

در ادامه بحث مبانی هک لازم است به اهمیت شناخت روش‌های هک اشاره کنیم تا به مقابله با آن‌ها بپردازیم. اصلی‌ترین و مهمترین هدف هک، دستیابی به پسورد است. امروزه اکثر فعالیت‌های تجاری و اقتصادی افراد به سیستم‌های کامپیوتری گره خورده است، دیگر کمتر کسی را، اعم‌از بی‌سواد و باسواد می‌توان یافت که عملیات بانکی و کارهای ادارای خود را با اینترنت انجام ندهد و یا حتی در رمز ارزها سرمایه‌گذاری نکرده باشد.

معمولا این افراد با پسوردهای ساده و رایج وارد این معاملات و فضاهای اینترنتی می‌شوند، پس این حیطه‌ها سوژه خوبی برای هکرهای فعال به شمار می‌روند. روش‌های رایج هک عبارت‌انداز:

۱. هک بر پایه دیکشنری (Dictionary Hack)

رایج‌ترین و سریع‌ترین روشِ هکِ پسورد در مبحث مبانی هک، هک بر پایه دیکشنری است. در این روش یک فایل کم حجم حاوی میلیون‌ها پسورد وجود دارد که به صورت خودکار می‌تواند لیست بلندی از پسوردها را در اختیار هکر قرار دهد تا در نهایت پسورد اصلی شناسایی شود. معمولاٌ اکثر مردم برای سهولت در به خاطر سپردن پسوردها از اعداد و کلمات رایج استفاده می‌کنند که همه آنها در این دیکشنری درج شده است.

در جدول زیر ۲۰ پسورد رایج سال ۲۰۲۰ آورده شده است:

پس باید توجه داشته باشیم که از پسوردهای ساده استفاده نکنیم. معمولاً پیشنهاد می‌شود پسورد ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترها و نشانه‌ها باشد.

۲. حملات جستجوی فراگیر (Brute Force)

دومین روش از مبانی هک، روش جستجوی فراگیر است. در این روش هکر تمامی پسوردهای ممکن را امتحان می‌کند تا به سیستم نفوذ کند و این امر فرآیند جستجو را بسیار زمان‌گیر می‌کند. در این روش هکر تمام اطلاعات مربوط به شما را به عنوان پسورد امتحان می‌کند از تاریخ تولد و نام خودتان تا فرزندان و همسرتان گرفته تا شماره تلفن‌ها و کد ملی‌هایتان. پس همیشه سعی کنید پسوردهای پیچیده و ترکیبی انتخاب کنید.

۳. فیشینگ (Phishing)

روش فیشینگ از روش‌های هک کردن به شمار نمی‌رود ولی در آخر باعث هک شدن سیستم مورد نظر می‌شود. به این ترتیب که میلیاردها پیام به ایمیل‌های مختلفی در سراسر دنیا برای افراد و شرکت‌ها و سازمان‌های گوناگون ارسال می‌شود.

مراحلی که طی آن ایمیل فیشینگ سیستم مورد نظر را هک می‌کند به صورت زیر است:

1. به فرد یا سیستمی که می‌خواهند آن را هک کنند، یک ایمیل جعلی فرستاده می‌شود. ظاهر آن به گونه‌ای است که فرد تصور می‌کند، این ایمیل از طرف یک سازمان یا کسب و کار می‌باشد.
2. معمولا در این ایمیل با قرار دادن کلمه‌های فوری و غیره توجه کاربران بلافاصله جلب شده و آن را باز می‌کنند.
3. داخل این ایمیل‌ها لینکی وجود دارد که کاربر را به یک سایت جعلی که کاملا مشابه سایت مورد نظر اوست می‌برد.
4. کاربر بدون اینکه از این جریانات اطلاعی داشته باشد نام کاربری و پسورد خود را وارد می‌کند، در این لحظه یا به سایت دیگری منتقل می‌شود و یا یک پیام بی‌مورد به او نشان داده می‌شود. حال آنکه در این لحظه پسورد کاربر هک شده است.
5. در نهایت فردی یا سازمانی که این اطلاعات را به سرقت می‌برد یا آنها را می‌فروشد و یا از آنها سوءاستفاده می‌کند.

از آوریل سال ۲۰۲۰ که ویروس کرونا در جهان شروع به انتشار کرد، بهانه و فرصتی طلایی برای این افراد به دست آمد تا با ارسال ایمیل‌های جعلی با عنوان سازمان بهداشت جهانی و یا سایر مراکز بهداشتی و درمانی به اهداف شوم خود برسند. گوگل تعداد این ایمیل‌های فیشینگ را از آوریل ۲۰۲۰ روزانه به طور معمول تا ۱۸ میلیون ایمیل ثبت کرده است.

• آموزش راه اندازی تلفن تحت شبکه وویپ VOIP با کریو اپراتور Kerio Operator — کلیک کنید

۴. مهندسی اجتماعی (Social Engineering)

چهارمین روش هک از مبحث مبانی هک، مهندسی اجتماعی است. این روش تقریبا همان روش فیشینگ است با این تفاوت که این روش در دنیای واقعی انجام می‌پذیرد یعنی شخص یا اشخاصی به طور مستقیم با فریب افراد به پسورد آنها دسترسی پیدا کرده و به سیستم آنها نفوذ می‌کنند.

اجازه بدهید مثالی بزنیم ، فرض کنید طرحی برای ثبت نام در یک قرعه کشی یا خرید خودرو و یا مسکن وجود دارد و فردی از شما می‌خواهد که پسورد خود را به او بدهید تا او شما را ثبت نام کند و یا برای خدمات پشتیبانی اینترنتی با شما تماس می‌گیرند و از شما پسوردتان را می‌خواهند تا سیستمتان را ارتقا دهند. در همه این موارد شما ندانسته ولی از روی اختیار پسورد خود را در اختیار مهندسین اجتماعی قرار می‌دهید و آن‌ها به راحتی می‌توانند شما را هک کرده و سوءاستفاده مالی و اطلاعاتی کنند.

این روش معمولا توسط هکرهای بسیار حرفه‌ای مورد استفاده قرار می‌گیرد.

۵. جدول رنگین کمانی (Rainbow Table)

فرض می‌کنیم یک هکر مجموعه‌ای از پسوردها را به دست آورده است و می‌خواهد وارد سیستم قربانی شود. اما در عین ناباوری می‌بیند این پسوردها رمزنگاری شده‌اند یعنی درواقع این گذرواژه‌ها همان کدهای هش (Hash) شده هستند که با پسورد واقعی تفاوت دارند. مثلا فرض کنیم پسورد واقعی من “rezvan64” باشد که در این صورت کد هش شده آن برابر است با:9752f11e8f9c842143cf5d8730e09acc.

این عبارت ممکن است برای کاربران معمولی پیچیده و گنگ به نظر برسد اما برای هکرها اینگونه نیست. هکرها این نوع پسوردها را می‌شناسند و وقتی مجموعه‌ای از این نوع گذرواژه‌ها را به دست آوردند آنها را با استفاده از الگوریتم‌های متناظر به شکل واقعی خودشان تبدیل کرده و در جدولی جمع می‌کنند. به این نوع از جدول‌ها، جداول رنگین کمانی گفته می‌شود. مثلا هکر با استفاده از این جدول دقیقا می‌تواند بگوید که کد 9752f11e8f9c842143cf5d8730e09acc مربوط به “rezvan64” است.

۶. بدافزار یا کلیدنگارها (Keylogger)

در این بخش از مبانی هک به تعریف بدافزار می‌پردازیم. در حالت کلی بدافزارها برنامه‌های مخربی هستند که به سیستمهایی با امنیت ضعیف نفوذ می‌کنند و از طریق شبکه به همه سیستم‌ها منتقل شده و آن‌ها را نیز تخریب می‌کنند. بدافزارها از روش‌های مختلفی مثل فلش مموری‌ها، دانلود فایل‌ها از طریق اینترنت و غیره سیستم‌ها را آلوده می‌کنند. دسترسی به همه حساب‌های کاربری، سرقت اطلاعات و به دست گرفتن کنترل سیستم، از آسیب‌هایی است که بدافزارها به سیستم‌ها وارد می‌کنند.

بهترین راه مقابله با بدافزارها استفاده از آنتی ویروس‌های قدرتمند و آپدیت کردن مداوم آنها می‌باشد.

۷. روش Spidering

در ادامه بحث مبانی هک به روش Spidering می‌رسیم. وقتی هکری می‌خواهد یک سازمان و یا سیستم را مورد حمله قرار دهد، ابتدا یکسری پسوردهای مرتبط با آن کسب و کار و سازمان را امتحان می‌کند، تا اینجای کار شبیه حمله دیکشنری در قسمت اول عمل می‌کند. اگر در طبیعت دقت کنیم متوجه خواهیم شد که عنکبوت‌ها برای رفتن به هر قسمت تار می‌زنند، در موتورهای جستجو به روش عنکبوتی هم همینطور است، نرم‌افزاری که جستجو از یک لینک به لینک دیگر را با استفاده از یک الگوریتم مشخص و هدف‌دار انجام می‌دهد.

از سایتی به سایت دیگر می‌رود و در نهایت لیستی از نتیجه این جستجوهای ایندکس گذاری شده ارائه می‌دهد. در آخر هم از این فهرست برای یافتن اکانت و پسورد استفاده می‌شود. یعنی وقتی هکر یکسری اطلاعات مرتبط با سازمان و کسب‌و‌کاری را پیدا می‌کند با استفاده از روش Spidering، لیستی از پسوردها را تهیه می‌کند و با استفاده از آنها سعی می‌کند به سیستم‌ها وارد شود.

۸. نگاه از پشت (Shoulder Surfing)

آخرین مورد از روش‌های هک در مبحث مبانی هک، نگاه از پشت است. درواقع ساده‌ترین نوع هک هم همین نگاه از پشت است. فرض کنید در جایی مثل یک سالن انتظار یا رستوران نشسته‌اید و اصلاٌ حواستان به اطرافیان و کسانی که شما را زیر نظر دارند نیست. با گوشی خود مدام وارد قسمت‌های مختلف می‌شوید، حساب‌های کاربریتان را چک کرده و پسوردتان را وارد می‌کنید و شاید این کار را چندین بار تکرار نمایید. در این بین اگر کسانی به کارهای شما و صفحه گوشیتان دید داشته باشند به راحتی می‌توانند به پسورد و گذرواژه شما دسترسی پیدا کرده و بعدها از آن سوءاستفاده کنند.

درواقع این آسان‌ترین نوع هک است چون بدون استفاده از هیچ تکنولوژی پیچیده و خاصی به راحتی به پسورد طرف مقابل دسترسی پیدا می‌کنید. پس از این به بعد هر وقت در جاهای عمومی و یا جاهایی قرار گرفتید که به جز شما افراد دیگری هم حضور دارند حتماٌ حواستان به اطراف باشد تا مبادا کسی به اطلاعات خصوصی شما دست پیدا کرده و شما را به دردسر بیندازد.

سخن پایانی در مورد مبانی هک

در پایان بحث مبانی هک باید به این نکته توجه داشته باشیم که هیچ‌گاه نمی‌توان امنیت را به طور صددرصد تضمین کرد. زیرا همیشه افرادی وجود دارند که با توجه به اهدافشان در این زمینه به صورت شبانه‌روزی فعالیت کرده و روزبه‌روز راه‌های جدیدی برای هک کردن پیدا می‌کنند. تنها کاری که از دست ما برمی‌آید این است که امنیت را به حداکثر برسانیم، با قرار دادن پسوردهای پیچیده و ترکیبی از حروف بزرگ و کوچک، اعداد، کاراکترها، نشانه‌ها و استفاده از رمزهای یکبارمصرف. برای آموزش بهتر مفاهیم شبکه از آموزش نتورک پلاس +Network فرادرس استفاده کنید تا آمادگی لازم برای اجرای عملیات های مختلف در شبکه را دشته باشید.

• آموزش نتورک پلاس +Network — کلیک کنید

در آخر امیدواریم مطالبی که در باب مبانی هک ارائه شده مفید واقع گردد و پس از مطالعه آنها از این پس در انتخاب پسوردها دقت بیشتری به خرج دهیم تا امنیت را به بیشترین مقدار برسانیم. برای دانلود رایگان فیلم آموزشی network+ – مبانی شبکه و معرفی ویدئوهای آموزشی همین الان کلیک کنید. منتظر نظرها و راهکارهای جدید شما عزیزان هستیم.